Newsletter SICHER • INFORMIERT vom 14.03.2024
Ausgabe 06/2024
EU will Infrastruktur besser vor Cyberattacken schützen, Sicherheitsupdates für Chrome und Edge, so erkennen Sie Scam-Nachrichten & stark, stärker, Passkeys!
In den Schlagzeilen
1. BSI-Präsidentin warnt vor Cyberbedrohungen
"Die Gefährdungslage ist so hoch wie nie", so brachte es BSI-Präsidentin Claudia Plattner vor wenigen Tagen auf einer Veranstaltung des Digitalverbandes Bitkom auf den Punkt. Die Frage sei nicht, ob ein Angriff erfolgreich sei, sondern nur noch wann. Ransomware, Desinformationskampagnen, aber auch Sicherheitslücken in Unternehmen und Behörden wurden in ihrem Vortrag als drängendste Probleme benannt. Allein im Jahr 2022 entstand der deutschen Wirtschaft durch Cyberattacken ein Schaden von 206 Milliarden Euro. Höchste Zeit also, aktiv zu werden. Parallel zur Arbeit des BSI, das bei der Vorbeugung vor Cyberangriffen und in der Notsituation nach einer Attacke helfen kann, kommt es auch auf das Engagement der Unternehmen selbst an. Claudia Plattner verwies in diesem Zusammenhang auf die "Allianz für Cyber-Sicherheit" des BSI, ein Netzwerk, in dem sich bereits knapp 8000 Firmen zur Stärkung der Cyberresilienz zusammengeschlossen haben.
Zur Spiegel-Meldung
Mehr über die Allianz für Cyber-Sicherheit erfahren Sie hier.
2. Russische Attacken auf Microsoft
Seit Monaten steht Microsoft im Fokus russischer Hacker. Und die Angreifer lassen nicht nach – ganz im Gegenteil: Im Februar 2024 hätten sich die Attacken verzehnfacht, gab das Unternehmen bekannt. Durch den Zugriff auf E-Mails von Microsoft-Managern konnten Zugangsdaten, Dokumente und Software-Quellcodes entwendet werden; weitere Schwachstellen in den internen Systemen sind gefährdet. Hinter den Angriffen wird die Gruppe Midnight Blizzard vermutet. Sie gilt als ein von Russland gestützter Akteur. Microsoft ordnet die Attacken deshalb als Zeichen für eine "beispiellose globale Bedrohungslage in Hinblick auf ausgeklügelte Angriffe von Nationalstaaten" ein. ("This reflects what has become more broadly an unprecedented global threat landscape, especially in terms of sophisticated nation-state attacks.")
Es berichtet u.a. heise.de
Zur aktuellen Stellungnahme von Microsoft
3. EU will Infrastruktur besser vor Cyberattacken schützen
Ein neues Warnsystem soll Bedrohungen frühzeitig erkennen und Kritische Infrastrukturen (KRITIS) wie Krankenhäuser, Energieversorger oder Verkehrsknotenpunkte europaweit besser schützen, darauf hat sich die EU in der vergangenen Woche geeinigt. Das Warnsystem für Cybersicherheit ist Teil des europäischen Cybersolidaritätsgesetzes, für dessen Maßnahmen etwa 1,1 Milliarden Euro veranschlagt werden. Es soll den Informationsaustausch fördern und dazu beitragen, Bedrohungen innerhalb der EU frühzeitig zu erkennen und die richtigen Maßnahmen zu ergreifen.
Mehr Informationen gibt es u.a. auf zeit.de
Der UP KRITIS ist eine öffentlich private Kooperation zwischen Betreibern Kritischer Infrastrukturen, ihren Verbänden und den zuständigen staatlichen Stellen.
Erfahren Sie mehr über die Kooperation UP KRITIS zum Schutz der Kritischen Infrastrukturen in Deutschland.
4. Kurz notiert
- Das Center of Automotive Management (CAM) bewertet in einer neuen Studie die Cyberkriminalität als "größte multiple Herausforderung der Automobilbranche in den nächsten Jahren". Vernetzte Fahrzeuge und die Schnittstellen des sogenannten "automobilen Ökosystems" – etwa Ladeinfrastruktur,
SIM, WLAN, Bluetooth, USB, Funkschlüssel oder Diagnoseschnittstellen – steigern das Risiko von Cyberangriffen laut Studie erheblich. Aber auch die Lieferkette wird als mögliches Ziel von Cyberkriminalität benannt. Die Studie empfiehlt unter anderem, das Bewusstsein für die Gefahren und Risiken in der Branche zu erhöhen und Unternehmen dazu zu ermuntern, umfassende Cybersicherheitsstrategien zu entwickeln.
Über die Studie berichtet u.a.security-insider.de
Hier geht’s zur Studie
- Die Cybersicherheitsfirma Proofpoint informiert über aktuelle Zahlen zur IT-Sicherheit in Unternehmen und geht dabei vor allem auf das "Sicherheitsrisiko Mitarbeitende" ein. Nur 21 Prozent der deutschen Firmen schulen ihre Angestellten laut der Erhebung etwa in der Erkennung und Abwehr von Cyberangriffen oder im Umgang mit generativer KI. 65 Prozent der befragten Mitarbeitenden waren sich in Bezug auf ihre eigene Verantwortung für die Cybersecurity nicht sicher oder gaben an, überhaupt keine Verantwortung zu tragen.
Die Studie kann hier abgerufen werden.
- Die "Mindeststandards des BSI für Webbrowser" wurden aktualisiert. Durch die Angaben können Risiken für Verbraucherinnen und Verbraucher weiter minimiert werden. Die Vorgaben in der Version 3.0 betreffen unter anderem Updates, den Schutz vertrauenswürdiger Daten sowie Passwortmanager; erstmals werden auch mobile Browser berücksichtigt.
Hier geht es zur Änderungsübersicht des BSI sowie zur Pressemitteilung.
Up-to-date
5. Apple schießt rund 70 Lücken in macOS 14.4
Apple-Nutzende sollten weiter dranbleiben: Nach Updates für iOS und iPadOS steht nun macOS im Fokus. Neben kleineren Funktionserweiterungen und Bugfixes betreffen die Aktualisierungen auch zwei heikle Schwachstellen, die wohl bereits aktiv für Angriffe ausgenutzt wurden. Für macOS 14 Sonoma steht die Version 14.4 zum Download bereit, für die beiden älteren macOS-Versionen Ventura und Monterey greifen Nutzende auf die Updates 13.6.5 und 12.7.4 zurück. Außerdem gibt es für sie ein Update, das den Browser Safari (mitsamt WebKit) auf Version 17.4 aktualisiert.
Es berichtet u.a. heise.de
6. Sicherheitsupdates für Chrome und Edge
"Ein anonymer Angreifer kann mehrere Schwachstellen in Google Chrome und Microsoft Edge ausnutzen, um einen nicht näher spezifizierten Angriff durchzuführen", warnte das BSI Anfang des Monats. Browser-Updates von Apple und Microsoft schaffen Abhilfe: Das Edge-Update bringt in der neuesten Version 122.0.2365.80 alle entsprechenden Änderungen mit, um die Schwachstellen zu beheben. Das Gleiche gilt für das Chrome-Update auf Version 122.0.6261.111/.112. Für eine Schwachstelle im Edge-Browser für Android, die den Browser anfällig macht für Spoofing, liegt noch kein Update vor.
Zur Meldung auf winfuture.de
7. Aktuelle Warnmeldungen des BSI
Das BSI informiert auf seiner Webseite regelmäßig über aktuelle Schwachstellen in Hard- und Software und gibt Informationen sowie Tipps zum Umgang damit.
Hinweise dazu, wo Lücken bei der IT-Sicherheit auftauchen gibt es auf dem BSI-Portal.
Gut zu wissen
8. Zahl der Woche: 30
Im besten Fall schließen Updates Sicherheitslücken, bevor Cyberkriminelle sie ausnutzen können. Immerhin 30 Prozent der Verbraucherinnen und Verbraucher installieren laut Cybersicherheitsmonitor 2023 regelmäßig manuell Updates. Doch es geht noch einfacher: 36 Prozent der Nutzenden haben die automatische Installation von Updates aktiviert. So landen mit Sicherheit die neuesten Updates auf dem jeweiligen Gerät.
Wer sich die manuelle Installation künftig ebenfalls sparen möchte, findet hier die BSI-Schritt-für-Schritt-Anleitung für automatische Updates.
9. In der EU gelten ab sofort die Regeln des Digital Markets Act
Nachrichten zwischen verschiedenen Messanger-Anbietern verschicken, frei über Browser, Suchmaschinen oder die Verknüpfung verschiedener Dienste untereinander entscheiden – all das und mehr garantiert der Digital Markets Act, das europäische Gesetz über digitale Märkte. Seit 7. März 2024 müssen sich sechs führende Tech-Unternehmen – Apple, Amazon, Microsoft, Alphabet, Meta und Bytedance (TikTok) – an die neuen Vorgaben halten. Diese zentralen Plattformen, die Gatekeeper, sollen für mehr Geräteneutralität, Interoperabilität sowie Datenportabilität und ein höheres Maß an Wettbewerb auf den digitalen Märkten sorgen.
10. Das neue BSI-Lagezentrum: 24/7 im Einsatz
Am 23. März 2024 motiviert die Earth Hour auch hierzulande dazu, von 20.30 bis 21.30 Uhr das Licht auszuschalten und so ein Zeichen für den Klimaschutz und die Demokratie zu setzen. Das Nationale IT-Lagezentrum des BSI bleibt auch während der Earth Hour besetzt. Denn die Cyberkriminalität macht keine Pause – schon gar nicht, wenn es um Angriffe auf starke Demokratien geht.
Erfahren Sie mehr über unser neues Lagezentrum und seinen 24/7-Informationsdauerdienst, der die Cybersicherheitslage in Deutschland zu jeder Tages- und Nachtzeit bewertet.
Praktisch sicher
11. Malware auf dem Smartphone oder Tablet – was nun?
Wenn das Handy oder Tablet nicht mehr das tut, was es soll, und mit Malware infiziert wurde, sorgt das für einen echten Schreckmoment. Das BSI informiert darüber, was in einem solchen Fall zu tun ist. Wurde vor dem Auftreten des verdächtigen Geräteverhaltens beispielsweise eine bestimmte App installiert, dann sollte diese deinstalliert werden. Auch ein Zurücksetzen auf die Werkseinstellungen kann helfen. Darüber hinaus unverzichtbar: ein aktuelles Antivirus-Programm.
Alle Tipps zum Schutz von Mobilgeräten vor Malware auf einen Blick.
12. Stark, stärker, Passkeys!
Nutzen Sie noch Passwörter? Es gibt längst was Besseres! Passkeys sind Passwörtern in vielerlei Hinsicht überlegen: Sie können nicht zu simpel oder zu kurz sein, sie können nicht vergessen werden, sie werden schnell und automatisiert erstellt und schützen immer genau einen Account. Außerdem ist es unwahrscheinlicher, dass Passkeys durch Phishing oder Datendiebstahl verloren gehen.
Über die Funktionsweise und Einrichtung informieren wir Sie hier.
Weitere Infos zu den Vorteilen von Passkeys liefert auch die aktuelle Folge unseres Podcasts Update verfügbar #40.
13. Adlerauge, sei wachsam: So erkennen Sie Scam-Nachrichten
Täuschend echt – und doch gefährlich. Kriminelle geben sich in gefälschten E-Mails als Paketdienstleister, Banken oder Behörden aus, um Geld oder Informationen zu erbeuten. Den Betrug zu erkennen, wird immer schwieriger. Dennoch gibt es einige Merkmale, die auf betrügerische Nachrichten wie Phishing bzw. Scam-Mails sowie gefälschte Websites hindeuten. So sollten etwa Links und Formulare zur Abfrage persönlicher Daten stutzig machen. Auch ein dringender Handlungsbedarf oder Drohungen haben in seriösen Nachrichten nichts zu suchen.
Das BSI gibt Ihnen wichtige Empfehlungen an die Hand, wie Sie Phishing-Versuche erkennen.
Über aktuelle Phishing-Maschen informiert darüber hinaus die Verbraucherzentrale.
Was wichtig wird
14. Digitaler Verbraucherschutz: BSI-Jahresrückblick 2023 erschienen
Am 15. März ist der jährliche Welt-Verbraucher-Tag. Passend dazu ist ab sofort der BSI-Jahresrückblick 2023 im Bereich des Digitalen Verbraucherschutzes abrufbar. Er liefert Diskussionsmaterial und Umsetzungsanregungen für Expertinnen und Experten, Stakeholder sowie Verbraucherinnen und Verbraucher, die sich in Sachen digitale Verbraucherresilienz künftig (noch) besser aufstellen wollen. Darüber hinaus ist das BSI auch an den kommenden 365 Tagen im Einsatz, um die Cyberresilienz in Deutschland zu stärken und Menschen und Institutionen im Notfall und präventiv zur Seite zu stehen.
Hier geht es zum BSI-Jahresrückblick 2023.
Übrigens
15. CYBERSNACS #26: Krisenkommunikation – Schaden begrenzen, Reputation erhalten
"Die Frage ist nicht, ob Unternehmen Opfer eines Cyberangriffs werden, sondern wann es passiert", das betont in der aktuellen Folge CYBERSNACS auch Janka Kreißl von Dunkelblau, einem Unternehmen, das sich auf Krisenkommunikation und Krisenmanagement spezialisiert hat. In der Ausnahmesituation eines Cyberangriffs müsse einkalkuliert werden, dass Dinge schieflaufen und Zeit kosten können. Janka Kreißl empfiehlt Unternehmen darum, nicht zu viel nach außen zu versprechen und keine zu hohen Erwartungen zu schüren. Präventionsarbeit sei wichtig. Neugierig, ob und wie Unternehmen für Krisenkommunikation ein Konzept in der Schublade vorhalten können? Dann einfach reinhören in die aktuelle Folge CYBERSNACS.
Weitere Informationen & Feedback
Sie wünschen weitere Sicherheitstipps und Informationen für Ihren digitalen Alltag.
10 Basistipps für mehr Sicherheit in Ihren digitalen Alltag
Sie haben allgemeine Fragen oder Verbesserungsvorschläge für diesen Newsletter? Unsere Kontaktmöglichkeiten
Ihnen gefällt dieser Newsletter? Empfehlen Sie ihn gerne an Freunde und Familie weiter